以互联网、大数据、人工智能等现代信息技术构成的数字化时代,技术进步带来便利的同时,其背后伴随的安全问题也不容忽视。
这些被拿去的个人信息会不会被泄露和滥用?公众该如何防护?企业如何保护隐私的同时获取益处?又该如何保障用户的信息安全?
1各国法规部分介绍:
1.1中国《网络安全法》
我国于2017年6月1日正式发布《中华人民共和国网络安全法》。《网络安全法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。《网络安全法》在数据(包括个人信息)安全与保护上也有诸多规定,诸如第四十至四十五条。
1.2中国GB/T35273《个人信息安全规范》
2019年10月,GB/T35273《个人信息安全规范》在本年度内进行第三次修订并征求意见,同年《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》在内的多部法律法规及国家标准密集出台、快速更新甚至正式实施,充分反映了中国政府在个人信息保护领域立法十分活跃的态势。
1.3欧盟GDPR《通用数据保护条例》
欧盟于2018年5月25日正式发布GDPR《通用数据保护条例》,这是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
1.4美国CCPA《加州消费者隐私保护法》
2018年6月28日美国加州发布CCPA《加州消费者隐私保护法》。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
1.5美国SB220《内华达州数据隐私法》
2019年5月29日美国内华达州发布SB220《内华达州数据隐私法》,该法案涉及互联网隐私,要求互联网网站和在线服务的运营商遵循消费者的指示,不得出售其个人数据。违反SB220可能会导致运营商收到禁令或每次违规最高被处以5,000美元的民事处罚。SB220已于2019年10月1日生效。
1.6英国DPA2018《数据保护法》
2018年5月23日,英国正式通过新修订的DPA2018《数据保护法》。该法将废除1998年颁布的《数据保护法》,重新建立英国数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出裁剪规定。同时,确保英国在脱欧之后与欧盟在个人数据保护方面保持一致,以促进英国与欧盟国家的数据流动。该法主要内容包括:1)加强数据主体对其个人数据的控制权。2)加强数据控制者义务。此外,该法还为刑事司法机构出于执法目的而处理数据设计了专门的执法框架,要求在执法过程中同样需要保护个人数据。
1.7瑞士DPA《联邦资料保护法》
1.8德国BDSG《联邦个人资料保护法》
德国联邦议院于2018年4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。在新的BDSG法案中德国联邦政府运用了GDPR的开放性条款,导致部分新的BDSG规范内容超越了GDPR的条文规范,与现行欧盟法律不符,很可能被宣布违反欧盟法律。另一方面,旧的BDSG仅有48条规定,而新的BDSG则超过85条规定,且更为复杂,提高了法律适用上的难度。
2国际标准:
2.1ISO/IEC27001:2013信息安全管理体系
ISO/IEC27001是信息安全领域的重要标准,是建立信息安全管理体系的一套规范,标准详细说明了建立、实施及维护信息安全管理体系的要求,指出实施组织应该遵循风险评估标准,其最终目的在于帮助组织建立适合自身需要的信息安全管理体系。ISO/IEC27001共分成14个领域,35个控制目标,114个控制措施。
2.2ISO/IEC27002:2013信息安全控制实用规则
ISO/IEC27002标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。ISO/IEC27002标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。.ISO/IEC27002标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求,ISO/IEC27002标准可以作为一个实践指南服务于幵发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。实施规则中的控制和指导并不全都是适用的,可能需要ISO/IEC27002标准中未包括的附加控制和指南:。
2.3ISO/IEC27017:2015云环境下的信息安全控制
2.4ISO/IEC27018:2019公有云个人隐私保护
ISO/IEC27018是公有云个人隐私保护的国际标准,标准提供了一套用于公有云中个人信息处理者的个人信息保护实用规则。这些规则让云服务供应商的个人信息安全控制变得标准化和透明化,使得公有云服务提供商在扮演PII处理者时,有足够能力去处理公有云服务中的信息安全问题,能够在满足客户合约以及相应法规前提下,有效应对云服务中个人隐私保护的特定风险。ISO/IEC27018标准参考了ISO/IEC27002的16项控制措施,以及根据ISO/IEC29100的11项隐私框架原则追加的25项控制措施。
2.5ISO/IEC27701:2019隐私管理体系
ISO/IEC27701作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
2.6ISO/IEC29100:2011隐私框架
2.7ISO/IEC29134:2017隐私影响评估指南
2.8ISO/IEC29151:2017个人隐私保护标准
一图看懂这些标准之间的关系:
1、ISO/IEC27002为ISO/IEC27001提供风险处置具体的控制目标和控制措施指南;
2、组织依据ISO/IEC27001标准建立信息安全管理体系,通过风险管理来保护和管理组织的所有信息,从数据安全方面满足各国隐私法规的部分要求;
3、ISO/IEC27017和ISO/IEC27018是ISO/IEC27002标准的延伸,ISO/IEC27017着重于云环境下的信息安全控制,ISO/IEC27018着重于公有云个人隐私保护;
6、ISO/IEC27701附录D映射GDPR大部分条款,仅部分条款未被ISO/IEC27701覆盖,通过ISO/IEC27701认证能表明组织符合GDPR的大部分要求,是目前GDPR合规展现的方式之一;
7、ISO/IEC29100、ISO/IEC29134、ISO/IEC29151、ISO/IEC27018均为隐私方面的标准,有不同的侧重点,与ISO/IEC27701互为补充。
信息安全标准适用范围:
标准
描述
备注
ISO/IEC27001:2013
信息安全管理体系
作为基础管理体系的框架,适用于所有类型和规模的组织。
ISO/IEC27701:2019
ISO/IEC27001和ISO/IEC27002的延伸,用于隐私信息管理
ISO/IEC29151:2017
个人信息保护的行为准则
36项ISO/IEC27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。